Hvernig á að framkvæma pakkasíun, þýðingu netfanga og stilla færibreytur kjarna keyrslu - Part 2

Eins og lofað var í hluta 1 (\Setup Static Network Routing), í þessari grein (Hluti 2 af RHCE seríunni) munum við byrja á því að kynna meginreglur pakkasíunar og netfangaþýðingar (NAT) í Red Hat Enterprise Linux 7, áður en kafa í að stilla keyrslukjarna færibreytur til að breyta hegðun kjarna í gangi ef ákveðnar aðstæður breytast eða þarfir koma upp.

Netpakkasíun í RHEL 7

Þegar við tölum um pakkasíun er átt við ferli sem framkvæmt er af eldvegg þar sem hann les haus hvers gagnapakka sem reynir að fara í gegnum hann. Síðan síar það pakkann með því að grípa til nauðsynlegra aðgerða byggðar á reglum sem áður hafa verið skilgreindar af kerfisstjóranum.

Eins og þú veist líklega, frá og með RHEL 7, er sjálfgefin þjónusta sem stjórnar eldveggsreglum eldvegg. Eins og iptables, talar það við netfilter-eininguna í Linux kjarnanum til að skoða og vinna með netpakka. Ólíkt iptables geta uppfærslur tekið gildi strax án þess að trufla virkar tengingar - þú þarft ekki einu sinni að endurræsa þjónustuna.

Annar kostur við eldvegg er að hann gerir okkur kleift að skilgreina reglur byggðar á fyrirfram stilltum þjónustuheitum (meira um það á einni mínútu).

Í hluta 1 notuðum við eftirfarandi atburðarás:

Hins vegar muntu muna að við slökktum á eldveggnum á beini #2 til að einfalda dæmið þar sem við höfðum ekki fjallað um pakkasíun ennþá. Við skulum sjá núna hvernig við getum virkjað komandi pakka sem ætlaðar eru til ákveðinnar þjónustu eða höfn á áfangastað.

Í fyrsta lagi skulum við bæta við varanlega reglu til að leyfa umferð á heimleið í enp0s3 (192.168.0.19) til enp0s8 (10.0.0.18):

# firewall-cmd --permanent --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Ofangreind skipun vistar regluna í /etc/firewalld/direct.xml:

# cat /etc/firewalld/direct.xml

Virkjaðu síðan regluna til að hún taki gildi strax:

# firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i enp0s3 -o enp0s8 -j ACCEPT

Nú geturðu telnet á vefþjóninn frá RHEL 7 kassanum og keyrt tcpdump aftur til að fylgjast með TCP umferð milli vélanna tveggja, að þessu sinni með eldvegg í beini #2 virkan.

# telnet 10.0.0.20 80
# tcpdump -qnnvvv -i enp0s3 host 10.0.0.20

Hvað ef þú vilt aðeins leyfa komandi tengingar við vefþjóninn (gátt 80) frá 192.168.0.18 og loka fyrir tengingar frá öðrum aðilum á 192.168.0.0/24 netinu?

Í eldvegg vefþjónsins skaltu bæta við eftirfarandi reglum:

# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.18/24" service name="http" accept' --permanent
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop'
# firewall-cmd --add-rich-rule 'rule family="ipv4" source address="192.168.0.0/24" service name="http" drop' --permanent

Nú geturðu sent HTTP beiðnir til vefþjónsins, frá 192.168.0.18 og frá einhverri annarri vél í 192.168.0.0/24. Í fyrra tilvikinu ætti tengingin að ljúka með góðum árangri, en í því síðara mun hún loksins líða út.

Til að gera það mun einhver af eftirfarandi skipunum gera bragðið:

# telnet 10.0.0.20 80
# wget 10.0.0.20

Ég ráðlegg þér eindregið að skoða Firewalld Rich Language skjölin í Fedora Project Wiki fyrir frekari upplýsingar um ríkar reglur.

Netfangsþýðing í RHEL 7

Network Address Translation (NAT) er ferlið þar sem hópi tölva (það getur líka verið bara ein þeirra) á einkaneti er úthlutað einstöku opinberu IP-tölu. Fyrir vikið eru þeir enn auðkenndir með eigin IP tölu innan netsins en að utan „virðast“ þau öll eins.